微軟威脅情報團隊近日指出針對 macOS 的惡意程式 XCSSET 推出新變種,主要透過感染 Xcode 專案來鎖定蘋果開發者。這是自 2022 年以來首次發現的 XCSSET 新變種,雖然目前攻擊範圍有限,但由於其複雜的攻擊手法,引起資安專家的高度關注。
XCSSET 的演進歷程 XCSSET 最早於 2020 年被發現,是一款專門針對 Mac 用戶和開發者的資訊竊取型惡意程式。早期版本曾利用零日漏洞執行惡意操作,主要透過感染 Xcode 專案進行傳播。Xcode 是蘋果官方的整合開發環境(IDE),用於開發 macOS 應用程式。
趨勢科技的研究人員指出,XCSSET 的傳播方式相當巧妙。受感染的開發者會在不知情的情況下,透過受感染的 Xcode 專案將木馬程式傳播給其用戶。一般的檔案驗證方法,如檢查雜湊值,也無法發現問題,因為開發者本身並不知道他們正在散布惡意檔案。
新變種的進階功能 根據微軟的分析,
新版 XCSSET 在資料竊取能力上有顯著提升。這個新版本不僅可以竊取 Notes 應用程式數據,還會針對數位錢包進行監控,同時持續擷取系統資訊和重要檔案。此外,它還會監控並竊取包括 Telegram、WeChat、Evernote 等多款常用應用程式的資料。
在技術層面,新版本採用了更先進的混淆技術。它使用隨機化的載荷產生方法,編碼技術和迭代次數都經過隨機化處理。除了原有的 xxd(hexdump)編碼外,新版本還加入了 Base64 編碼。更重要的是,程式碼層級的模組名稱都經過混淆,大幅增加了分析難度。
為確保持續性,新版 XCSSET 採用了兩種主要機制。
- 第一種是「zshrc」方法,它會建立 ~/.zshrc_aliases 檔案來存放惡意載荷,並在 ~/.zshrc 檔案中附加啟動指令,確保每次開啟新的 shell 工作階段時都會自動執行。
- 第二種是「dock」方法,惡意程式會從指令與控制伺服器下載經過簽署的 dockutil 工具,建立偽裝的 Launchpad 應用程式,並替換正常 Launchpad 的 dock 路徑,實現同時執行正常程式和惡意載荷的目的。
在感染策略方面,新版本提供了包括 TARGET、RULE 和 FORCED_STRATEGY 等多種載荷植入選項。它還可以將載荷隱藏在建置設定的 TARGET_DEVICE_FAMILY 金鑰中,並在後期階段才執行惡意程式,藉此降低被發現的風險。
防護建議
安全專家建議開發者在從網路上下載 Xcode 專案時要格外謹慎,建立可信任的程式碼來源清單,並定期檢查專案中是否存在異常檔案或設定。在系統層面,建議確保 macOS 系統保持最新狀態,安裝可靠的防毒軟體並保持即時防護,同時密切監控系統中的異常活動,特別是涉及 Xcode 相關進程的部分。
對於應用程式安全,專家建議定期檢查 Launchpad 和 Dock 設定是否遭到更改,注意應用程式的異常行為,並謹慎管理敏感資料的存取權限。值得注意的是,即使是來自信任夥伴的 Xcode 專案也需要謹慎處理,因為提供者可能不知道專案已被植入惡意程式。開發者社群應該提高警覺,共同防範這類針對性攻擊。